nOAuth bleibt gefährlich: Anhaltende Schwachstelle in Microsoft Entra ID
Die nOAuth-Schwachstelle bedroht weiterhin zahlreiche SaaS-Anwendungen. Angreifer können mit geringem Aufwand Konten übernehmen – selbst moderne Schutzmechanismen wie Zero Trust oder Multi-Faktor-Authentifizierung greifen hier nicht.
Die Sicherheitsforscher von Semperis schlagen Alarm: Noch immer sind viele cloudbasierte Unternehmensanwendungen in der Entra Application Gallery von Microsoft anfällig für nOAuth-Angriffe. Die Schwachstelle betrifft OpenID-Connect-Integrationen, bei denen fehlerhaft konfigurierte E-Mail-Ansprüche als Benutzerkennungen akzeptiert werden – ein bekanntes Anti-Muster im OpenID-Standard.
Bereits im Jahr 2023 von Descope-Forscher Omer Cohen entdeckt, nutzt nOAuth eine einfache, aber gefährliche Schwäche aus: Wenn ein SaaS-Anbieter in seiner Entra-ID-Anbindung keine Verifizierung der Benutzeridentität vornimmt, genügt es, die E-Mail-Adresse eines Zielnutzers zu kennen. Ein Angreifer kann dann – mit einem eigenen Entra-Mandanten – das Konto des Opfers übernehmen.
Angriff ohne Spuren – und ohne Schutz
„Klassische Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierung, bedingter Zugriff oder Zero-Trust-Richtlinien versagen bei dieser Angriffsmethode“, erklärt Eric Woodruff, Chief Identity Architect bei Semperis. Die Schwachstelle greift tiefer – sie nutzt grundlegende Fehler in der Authentifizierungskonfiguration und ist für die betroffenen Endnutzer weder sichtbar noch zu verhindern.
In einem Testlauf analysierte Semperis über 100 SaaS-Anwendungen mit Entra-Integration – fast zehn Prozent waren weiterhin anfällig. Das bedeutet: Die nOAuth-Schwachstelle ist kein theoretisches Risiko, sondern ein reales Problem mit weitreichenden Folgen. Angreifer können nicht nur auf sensible Daten zugreifen, sondern auch Persistenz aufbauen und sich seitlich im Unternehmensnetzwerk bewegen.
SaaS-Anbieter oft ahnungslos – Kunden machtlos
Woodruff betont: Viele Entwickler folgen gutgläubig unsicheren Mustern – häufig ohne zu wissen, dass sie ein Risiko erzeugen. Die Problematik wird dadurch verschärft, dass Kunden keinerlei Möglichkeit haben, solche Angriffe zu erkennen oder zu stoppen. Ohne eine lückenlose Protokollkorrelation zwischen Entra ID und der jeweiligen SaaS-Anwendung bleibt der Angriff unsichtbar.
„Es ist ein Angriff mit minimalem Aufwand und maximalem Schaden“, so Woodruff. „Und genau das macht ihn so gefährlich.“
Microsoft hat betroffene Anbieter in der Zwischenzeit gewarnt: Wer die Empfehlungen zur Absicherung nicht umsetzt, riskiert den Ausschluss aus der Entra Application Gallery. Einige Unternehmen haben ihre Anwendungen bereits nachgebessert – andere lassen die Lücke weiter offen.
Für Semperis ist klar: Es besteht akuter Handlungsbedarf. Entwickler sollten ihre Entra-Integrationen überarbeiten und insbesondere sicherstellen, dass Benutzeridentitäten nicht auf unbestätigten E-Mail-Adressen basieren. Zudem sei eine gezielte Protokollauswertung erforderlich, um potenzielle nOAuth-Angriffe überhaupt erkennen zu können.
Fazit: nOAuth ist keine Altlast – sondern aktuelle Bedrohung
Obwohl nOAuth bereits vor zwei Jahren bekannt wurde, zeigt der aktuelle Bericht von Semperis: Die Schwachstelle ist alles andere als behoben. Solange grundlegende Fehlkonfigurationen in SaaS-Anwendungen bestehen, bleibt die Gefahr real – und die Verteidigung schwierig bis unmöglich. Es liegt an den Anbietern, die Architektur ihrer Anwendungen zu überdenken und Standards konsequent umzusetzen. Denn mit jeder ungeprüften Integration wächst das Risiko, dass sich Angreifer genau diesen blinden Fleck zunutze machen.
Der vollständige Blogbeitrag dazu ist hier verfügbar.
Newsletter Abonnieren
Abonnieren Sie jetzt IT-SICHERHEIT News und erhalten Sie alle 14 Tage aktuelle News, Fachbeiträge, exklusive Einladungen zu kostenlosen Webinaren und hilfreiche Downloads.
